IoT güvenliği (nesnelerin interneti güvenliği) nedir?

IoT güvenliği (nesnelerin interneti güvenliği), bağlı cihazları ve ağları korumaya odaklanan teknoloji segmentidir. IOT. IoT, birbiriyle ilişkili bilgi işlem cihazları, mekanik ve dijital makineler, nesneler, hayvanlar ve insanlardan oluşan bir sisteme internet bağlantısı eklemeyi içerir. Her biri şey Sahiptir-A benzersiz tanımlayıcı ve verileri bir ağ üzerinden otomatik olarak aktarma yeteneği. Ancak, cihazların internete bağlanmasını sağlamak, düzgün bir şekilde korunmadıkları takdirde ciddi güvenlik açıklarına yol açar.

Süreli IOT son derece geniştir ve bu teknoloji gelişmeye devam ettikçe terim yalnızca daha geniş hale gelir. Saatlerden termostatlara ve video oyun konsollarına kadar hemen hemen her teknolojik cihaz, internet veya diğer cihazlarla belirli bir kapasitede etkileşime girebilir.

IoT güvenliği, IoT'den bile daha geniştir ve bu şemsiyenin altına düşen çeşitli metodolojilerle sonuçlanır. Uygulama programlama Arayüzü (API) güvenlik, genel anahtar altyapısı (PKI) kimlik doğrulama ve ağ güvenliği, BT'nin büyüyen siber suç tehdidiyle mücadele etmek için kullanabileceği yöntemlerden yalnızca birkaçıdır ve siber terörizm savunmasız IoT cihazlarında kök salmıştır.

IoT güvenliği neden önemlidir?

IoT cihazlarının geleneksel olmayan üretimi ve işledikleri büyük miktarda veri nedeniyle, sürekli bir siber saldırı tehdidi vardır. Daha büyük ağa sızmak ve saldırmak için ortak bir IoT cihazının kullanıldığı birkaç yüksek profilli olay, IoT güvenliği ihtiyacına dikkat çekti.

Sürekli ortaya çıkan güvenlik açıkları olasılığı, veri ihlalleri ve IoT cihaz kullanımıyla ilişkili diğer riskler, güçlü IoT güvenliğine olan acil ihtiyacın altını çiziyor. IoT güvenliği, modern işletmelerin artan IoT güvenlik açıklarını azaltmayı amaçlayan çok çeşitli teknikler, stratejiler, protokoller ve eylemler içerdiğinden kuruluşlar için hayati önem taşır.

[Gömülü içerik]

IoT güvenlik sorunları ve zorlukları

Cihazların birbirine bağlanması için ne kadar çok yol varsa, tehdit aktörlerinin onları engellemesi için o kadar çok fırsat vardır. Üstmetin transfer protokolü ve API'ler, IoT cihazlarının güvendiği ve bilgisayar korsanlarının araya girebileceği kanallardan yalnızca ikisidir.

IoT şemsiyesi, kesinlikle internet tabanlı cihazları da içermez. Bluetooth teknolojisini kullanan cihazlar da IoT cihazı sayılır ve bu nedenle IoT güvenliği gerektirir.

Aşağıdaki IoT güvenlik sorunları, hem bireylerin hem de kuruluşların finansal güvenliğini tehdit etmeye devam ediyor:

• Uzaktan maruz kalma. Diğer teknolojilerin aksine, IoT cihazlarının özellikle büyük bir saldırı yüzeyi internet destekli bağlantılarından dolayı. Bu erişilebilirlik son derece değerli olmakla birlikte bilgisayar korsanlarına cihazlarla uzaktan etkileşim kurma fırsatı da veriyor. Bu nedenle, örneğin bilgisayar korsanlığı kampanyaları Kimlik avı, özellikle etkilidir. IoT güvenliği dahil bulut güvenlik, varlıkları korumak için çok sayıda giriş noktasını hesaba katmalıdır.
• Sektör öngörüsü eksikliği. organizasyonlar devam ettikçe dijital dönüşümler, belirli endüstriler ve ürünleri de öyle. Otomotiv ve sağlık sektörleri, daha üretken ve uygun maliyetli hale gelmek için IoT cihaz seçimlerini genişletti. Ancak bu dijital devrim, aynı zamanda her zamankinden daha büyük bir teknolojik bağımlılığa neden oldu. Normalde bir sorun olmasa da teknolojiye güvenmek, başarılı bir veri ihlalinin sonuçlarını artırabilir. Bunu endişe verici kılan şey, bu endüstrilerin artık doğası gereği daha savunmasız olan teknoloji parçalarına, yani IoT cihazlarına bel bağlamasıdır. Sadece bu da değil, birçok sağlık ve otomotiv şirketi bu cihazları güvence altına almak için gereken miktarda para ve kaynak yatırımı yapmaya hazır değildi. Bu sektör öngörüsü eksikliği, birçok kuruluşu ve üreticiyi gereksiz yere artan risklere maruz bırakmıştır. siber güvenlik tehditleri.
• Kaynak kısıtlamaları. Tüm IoT cihazları, gelişmiş güvenlik duvarlarını veya virüsten koruma yazılımlarını entegre edecek bilgi işlem gücüne sahip değildir. Aslında, bazı cihazlar diğer cihazlara zorlukla bağlanabilir. Örneğin, Bluetooth teknolojisini benimseyen IoT cihazları, son zamanlarda bir veri ihlali dalgasından zarar gördü. Otomotiv sektörü yine en çok darbe alan pazarlardan biri oldu.
• Zayıf varsayılan şifreler. IoT cihazları genellikle zayıf parolalarla gelir ve çoğu tüketici parolaların daha güvenli olanlarla değiştirilmesi gerektiğinin farkında olmayabilir. IoT cihazlarında varsayılan parolalar değiştirilmezse, bu durum onları savunmasız bırakabilir. Kaba güç ve diğer bilgisayar korsanlığı saldırıları.
• Birden fazla bağlı cihaz. Günümüzde çoğu evde birden fazla birbirine bağlı cihaz var. Bu rahatlığın dezavantajı, bir cihazın hatalı bir güvenlik yapılandırması nedeniyle arızalanması durumunda, aynı evdeki diğer bağlı cihazların da arızalanmasıdır.
• Şifreleme eksikliği. IoT cihazlarından kaynaklanan ağ trafiğinin çoğu şifrelenmemiştir, bu da güvenlik tehditleri ve veri ihlalleri olasılığını artırır. Bu tehditler, tüm cihazların güvenli ve şifreli olmasını sağlayarak önlenebilir.

2020'de bir siber güvenlik uzmanı bir bilgisayarı hackledi. Tesla Model X büyük bir Bluetooth güvenlik açığından yararlanarak 90 saniyeden daha kısa sürede. Açmak ve çalıştırmak için kablosuz anahtarlıklara güvenen diğer arabalar da benzer saldırılara maruz kaldı. Tehdit aktörleri, bir alarmı tetiklemeye gerek kalmadan araçları çalmak için bu cep telefonlarının arayüzünü taramanın ve kopyalamanın bir yolunu bulmuşlardır. Tesla aracı gibi teknolojik olarak gelişmiş makineler IoT veri ihlaline karşı savunmasızsa, diğer tüm akıllı cihazlar da öyledir.

IoT sistemleri ve cihazları nasıl korunur?

Kuruluşlar, veri koruma protokollerini ve güvenlik duruşlarını iyileştirmek için aşağıdaki araçları ve teknolojileri kullanabilir:

1. Tasarım aşamasında IoT güvenliğini tanıtın. Tartışılan IoT güvenlik riskleri ve sorunlarının çoğu, özellikle herhangi bir tüketici, kurumsal veya endüstriyel tabanlı IoT'nin başlangıcındaki araştırma ve geliştirme sürecinde daha iyi hazırlıkla aşılabilir.IIoT) cihaz geliştirme. En yeni işletim sistemlerini sağlamanın ve güvenli donanım kullanmanın yanı sıra güvenliği varsayılan olarak etkinleştirmek çok önemlidir.

   IoT geliştiricileri, yalnızca tasarım aşamasında değil, geliştirmenin her aşamasında siber güvenlik açıklarına karşı dikkatli olmalıdır. Örneğin, araba anahtarı hırsızlığı, sürücünün anahtarlığı metal bir kutuya veya evlerinin pencerelerinden ve koridorlarından uzağa koymasıyla hafifletilebilir.

2. PKI ve dijital sertifikalar. PKI, birden fazla ağa bağlı cihaz arasındaki istemci-sunucu bağlantılarını güvenli hale getirebilir. İki anahtarlı asimetrik bir şifreleme sistemi kullanan PKI, özel mesajların ve etkileşimlerin şifrelenmesini ve şifresinin çözülmesini kolaylaştırabilir. dijital sertifikalar. Bu sistemler, özel işlemleri tamamlamak için kullanıcılar tarafından web sitelerine girilen açık metin bilgilerinin korunmasına yardımcı olur. E-ticaret, PKI güvenliği olmadan çalışamazdı.
3. Ağ güvenliği. Ağlar, tehdit aktörlerinin IoT cihazlarını uzaktan kontrol etmeleri için büyük bir fırsat sağlar. Ağlar hem dijital hem de fiziksel bileşenler içerdiğinden, şirket içi IoT güvenliği her iki tür erişim noktasını da ele almalıdır. Bir IoT ağını korumak, bağlantı noktası güvenliğini sağlamayı, bağlantı noktası iletmeyi devre dışı bırakmayı ve gerekmediğinde bağlantı noktalarını asla açmayı içerir; kötü amaçlı yazılımdan koruma, güvenlik duvarları, izinsiz giriş tespit sistemleri ve izinsiz giriş önleme sistemleri kullanmak; yetkisiz IP adreslerini engelleme; ve sistemlerin yamalanmış ve güncel olduğundan emin olmak.
   

4. API güvenliği. API'ler, en gelişmiş web sitelerinin bel kemiğidir. Örneğin, seyahat acentelerinin birden çok havayolundan alınan uçuş bilgilerini tek bir yerde toplamasına olanak tanırlar. Ne yazık ki, bilgisayar korsanları bu iletişim kanallarını tehlikeye atabilir ve API güvenliği IoT cihazlarından arka uç sistemlere gönderilen verilerin bütünlüğünü korumak ve yalnızca yetkili cihazların, geliştiricilerin ve uygulamaların API'lerle iletişim kurmasını sağlamak için gereklidir. T-Mobile'ın 2018 veri ihlali, zayıf API güvenliğinin sonuçlarını ortaya çıkardı. Sızdıran bir API nedeniyle mobil dev, fatura posta kodları, telefon numaraları ve hesap numaraları dahil olmak üzere 2 milyondan fazla müşterinin kişisel verilerini ifşa etti.

Ek IoT güvenlik yöntemleri

IoT güvenliğini sağlamanın diğer yolları şunları içerir:

• Ağ erişim kontrolü (NAC). NAC bir ağa bağlanan IoT cihazlarının tanımlanmasına ve envanterinin çıkarılmasına yardımcı olabilir. Bu, cihazları izlemek ve izlemek için bir temel sağlar.
• Segmentasyon. Doğrudan internete bağlanması gereken IoT cihazları, kendi ağlarında bölümlere ayrılmalı ve kurumsal ağa sınırlı erişime sahip olmalıdır. Ağ segmentleri, bir sorun algılanırsa harekete geçerek anormal etkinliği izlemeli.
• Güvenlik ağ geçitleri. IoT cihazları ile ağ arasında aracı görevi görmesi, güvenlik ağ geçitleri IoT cihazlarının kendilerinden daha fazla işlem gücüne, belleğe ve yeteneğe sahip olmaları, bilgisayar korsanlarının bağlandıkları IoT cihazlarına erişememelerini sağlamak için güvenlik duvarları gibi özellikler eklemelerine olanak tanır.
• Yama yönetimi ve sürekli yazılım güncellemeleri. Cihazları ve yazılımı ağ bağlantıları üzerinden veya otomasyon yoluyla güncellemek için bir yol sağlamak çok önemlidir. Güvenlik açıklarının koordineli bir şekilde açıklanması, cihazların mümkün olan en kısa sürede güncellenmesi için de önemlidir. Yaşam sonu stratejilerini de düşünün.
• Eğitim. IoT ve operasyonel sistem güvenliği, birçok mevcut güvenlik ekibi için yenidir. Güvenlik personeli, yeni veya bilinmeyen sistemlerle güncel kalmalı, yeni mimariler ve programlama dilleri öğrenmeli ve yeni güvenlik zorluklarına hazır olmalıdır. C seviyesi ve siber güvenlik ekipleri düzenli olarak siber güvenlik eğitimi modern tehditlere ve güvenlik önlemlerine ayak uydurmak.
• Takım entegrasyonu. Eğitimin yanı sıra, farklı ve düzenli olarak silo halindeki ekipleri entegre etmek faydalı olabilir. Örneğin, programlama geliştiricilerin güvenlik uzmanlarıyla birlikte çalışması, geliştirme aşamasında cihazlara uygun kontrollerin eklenmesini sağlamaya yardımcı olabilir.
• Tüketici eğitimi. Tüketiciler, IoT sistemlerinin tehlikeleri konusunda bilgilendirilmeli ve varsayılan kimlik bilgilerini güncelleme ve yazılım güncellemelerini uygulama gibi güvende kalmaya yönelik adımlar sağlanmalıdır. Tüketiciler, cihaz üreticilerinin güvenli cihazlar oluşturmasını zorunlu kılmakta ve yüksek güvenlik standartlarını karşılamayan cihazları kullanmayı reddetmekte de rol oynayabilir.
• Sıfırın uygulanması ve otomasyonugüven politikaları. The sıfır güven modeli Kuruluşun ağının içinde veya dışında olsun tüm kullanıcıların, uygulamalara ve verilere erişim verilmeden önce güvenlik yapılandırması ve durumu için doğrulanması, yetkilendirilmesi ve sürekli olarak değerlendirilmesi gerektiğini belirtir. Sıfır güven ilkelerini otomatikleştirmek ve bunları genel olarak uygulamak, IoT cihazlarına yönelik güvenlik tehditlerini azaltmaya yardımcı olabilir.
• Çokfaktör kimlik doğrulaması (MFA). MFA bir cihaza veya ağa erişim talep edilirken birden fazla kimlik biçimi gerektirerek ekstra bir güvenlik katmanı ekler. MFA politikalarını zorunlu kılarak, hem işletmeler hem de ev kullanıcıları IoT cihazlarının güvenliğini artırabilir.
• Makine öğrenme (ML). Makine öğrenimi teknolojisi, tüm ağ genelinde cihazların yönetimini ve taranmasını otomatikleştirerek IoT cihazlarının güvenliğini sağlamak için kullanılabilir. Ağa bağlı her cihaz tarandığı için BT ekipleri uyarılmadan saldırıları otomatik olarak durdurur. 2018'de Microsoft Windows Defender yazılımı bir Trojan kötü amaçlı yazılımı 30 dakika içinde saldırı.

IoT güvenlik tehditlerine karşı en savunmasız sektörler hangileri?

IoT güvenlik saldırıları her yerde gerçekleşebilir — bir akıllı ev bir üretim tesisine bağlı bir araca. Saldırının ciddiyeti büyük ölçüde bireysel sisteme, toplanan verilere ve içerdiği bilgilere bağlıdır.

Örneğin, bağlı bir arabanın frenlerini devre dışı bırakan bir saldırı veya insülin pompası gibi bağlı bir sağlık cihazının hacklenmesi hayati tehlike oluşturabilir. Benzer şekilde, bir IoT sistemi tarafından izlenen ilacı barındıran bir soğutma sistemine yönelik bir saldırı, sıcaklık dalgalanmaları durumunda bir ilacın yaşayabilirliğini mahvedebilir. Benzer şekilde, petrol kuyusu, enerji şebekesi veya su kaynağı gibi kritik altyapıya yönelik bir saldırı felaketle sonuçlanabilir.

Ancak diğer saldırılar hafife alınamaz. Örneğin, akıllı kapı kilitlerine yönelik bir saldırı potansiyel olarak bir hırsızın bir eve girmesine izin verebilir. Veya diğer güvenlik ihlallerinde, bir saldırgan kötü amaçlı yazılımı sıyırmak için bağlı bir sistemden geçirebilir. kişisel olarak tanımlanabilir bilgiler, etkilenenler için hasara yol açıyor.

Genel olarak konuşursak, IoT güvenlik tehditlerine karşı en savunmasız olan sektörler ve ajanslar bunlarla sınırlı olmamak üzere aşağıdakileri içerir:

• Perakende şirketleri.
• Kamyon endüstrisi.
• Tüketici elektroniği.
• Kamu hizmetleri ve kritik altyapı.
• Sağlık hizmeti.
• Eğitim.
• Devlet kurumları.
• Finansal Kurumlar.
• Enerji ve kamu hizmetleri şirketleri.

Hangi IoT cihazları güvenlik ihlallerine karşı en savunmasızdır?

Ev tabanlı bir ortamda, genellikle akıllı TV'ler, buzdolapları, kahve makineleri ve bebek monitörleri gibi IoT cihazlarının güvenlik saldırılarına karşı savunmasız olduğu bilinmektedir.

Kurumsal ortamlarda, video kameralar ve yazıcılar gibi tıbbi ekipman ve ağ altyapısı cihazları potansiyel hedefler olabilir. IoT güvenlik sağlayıcısı Armis'in araştırmasına göre, IP kameralar klinik ortamlarda izlenen platformları kritik önem derecelerine sahipken, klinik tesislerdeki ikinci en tehlikeli IoT ekipmanı, %37'si yamasız olan yazıcılardır. Ortak Güvenlik Açıkları ve Etkilenmeler, bunların %30'u kritik önemdedir.

Önemli IoT güvenlik ihlalleri ve IoT saldırıları

Güvenlik uzmanları, IoT konseptinin ilk ortaya çıktığı 1990'lardan bu yana internete bağlı çok sayıda güvensiz cihazın potansiyel riski konusunda uyarıda bulundu. Spam göndermek için kullanılan buzdolapları ve TV'lerden bebek monitörlerine sızan ve çocuklarla konuşan bilgisayar korsanlarına kadar pek çok saldırı daha sonra manşetlere taşındı. Birçok IoT saldırısı, cihazların kendisini hedeflemez, bunun yerine IoT cihazlarını daha büyük ağa giriş noktası olarak kullanır.

Önemli IoT güvenlik saldırıları şunları içerir:

• 2010 yılında araştırmacılar, Stuxnet virüsünün İran santrifüjlerine fiziksel olarak zarar vermek için kullanıldığını ortaya çıkardı; saldırılar 2006'da başladı, ancak birincil saldırı 2009'da gerçekleşti. Genellikle IoT saldırısının en eski örneklerinden biri olarak kabul edilen Stuxnet, hedeflenen Merkezi denetim ve veri toplama endüstriyel kontrol sistemlerindeki sistemler, programlanabilir mantık denetleyicileri tarafından gönderilen talimatları etkilemek için kötü amaçlı yazılım kullanıyor. Industroyer olarak da bilinen CrashOverride, Triton ve VPNFilter gibi savunmasız işletim teknolojisini ve IIoT sistemlerini hedefleyen kötü amaçlı yazılımlarla endüstriyel ağlara yönelik saldırılar devam etti.
• Aralık 2013'te, kurumsal güvenlik firması Proofpoint Inc.'de bir araştırmacı, ilk IoT botnet'i keşfetti. Araştırmacıya göre botnet'in %25'inden fazlası akıllı TV'ler, bebek monitörleri ve ev aletleri dahil olmak üzere bilgisayar dışındaki cihazlardan oluşuyor.
• 2015 yılında, güvenlik araştırmacıları Charlie Miller ve Chris Valasek, bir cipte kablosuz bir hack gerçekleştirerek aracın medya merkezindeki radyo istasyonunu değiştirdi, ön cam sileceklerini ve klimasını çalıştırdı ve hızlandırıcının çalışmasını durdurdu. Ayrıca motoru durdurabileceklerini, frenleri devreye sokabileceklerini ve frenleri tamamen devre dışı bırakabileceklerini söylediler. Miller ve Valasek, Chrysler'in araç içi bağlantı sistemi Uconnect aracılığıyla arabanın ağına sızmayı başardılar.
• Bugüne kadarki en büyük IoT botnet'lerinden biri olan Mirai, ilk olarak Eylül 2016'da gazeteci Brian Krebs'in web sitesine ve Fransız web sunucusu OVH'ye saldırdı; saldırılar sırasıyla saniyede 630 gigabit ve saniyede 1.1 terabit hızında gerçekleşti. Önümüzdeki ay, Alan Adı Sistemi hizmet sağlayıcısı Dyn'in ağı hedef alınarak Amazon, Netflix, Twitter ve New York Times, saatlerdir müsait değil. Saldırılar, IP kameralar ve yönlendiriciler dahil olmak üzere tüketici IoT cihazları aracılığıyla ağa sızdı. O zamandan beri Hajime, Hide 'N Seek, Masuta, PureMasuta, Wicked ve Okiru dahil olmak üzere bir dizi Mirai çeşidi ortaya çıktı.
• Ocak 2017 tarihli bir bildirimde Gıda ve İlaç İdaresi, kalp pilleri, defibrilatörler ve yeniden senkronizasyon cihazları dahil olmak üzere radyo frekansı etkin St. Jude Medical vücuda yerleştirilebilir kalp cihazlarındaki gömülü sistemlerin güvenlik ihlallerine ve saldırılara karşı savunmasız olabileceği konusunda uyardı.
• Temmuz 2020'de Trend Micro bir IoT Mirai botnet indiricisi bu, yeni kötü amaçlı yazılım türevlerine uyarlanabilirdi ve bu da, açıktaki Big-IP kutularına kötü amaçlı yüklerin iletilmesine yardımcı olacaktı. Bulunan örnekler ayrıca yaygın IoT cihazlarında ve yazılımlarında yakın zamanda açıklanan veya yama uygulanmayan güvenlik açıklarından da yararlandı.
• Mart 2021'de, güvenlik kamerası girişimi Verkada'nın 150,000'i vardı. canlı kamera yayınları hacklendi bir grup İsviçreli bilgisayar korsanı tarafından. Bu kameralar okullar, hapishaneler, hastaneler ve Tesla gibi özel şirket tesislerindeki faaliyetleri izliyordu.
• 2022'nin sonlarında bilgisayar korsanları, uzaktan kod yürütmeyle ilgili bir dizi 13 IoT güvenlik açığından yararlanmaya başladı. Güvenliği ihlal edilmiş cihazlara Mirai kötü amaçlı yazılımının değiştirilmiş bir sürümünü yüklediler ve etkilenen sistemler üzerinde yetkisiz kontrol sağladılar.
• Mart 2023'te, Akuvox'un akıllı interkomunun uzaktan dinleme ve gözetlemeye izin veren sıfır gün kusurlarına sahip olduğu bulundu.
• Ayrıca Mart 2023'te güvenlik açıkları Güvenilir Platform Modülü Milyarlarca IoT cihazını riske atan arabellek taşmasıyla ilgili 2.0 protokolü bulundu.

IoT güvenlik standartları ve mevzuatı

Birçok IoT güvenlik çerçevesi mevcuttur, ancak bugüne kadar endüstri tarafından kabul edilmiş tek bir standart yoktur. Ancak, yalnızca bir IoT güvenlik çerçevesini benimsemek yardımcı olabilir; IoT cihazları oluşturan ve dağıtan şirketlere yardımcı olacak araçlar ve kontrol listeleri sağlarlar. Bu tür çerçeveler, kâr amacı gütmeyen GSM Derneği, IoT Güvenlik Vakfı, Industry IoT Consortium ve diğer kuruluşlar tarafından yayınlanmıştır.

Diğer IoT güvenlik standartları ve düzenlemeleri aşağıdakileri içerir:

• Eylül 2015'te Federal Soruşturma Bürosu, IoT cihazlarının potansiyel güvenlik açıkları hakkında uyarıda bulunan ve tüketiciyi koruma ve savunma önerileri sunan FBI Uyarı Numarası I-091015-PSA olan bir kamu hizmeti duyurusu yayınladı.
• Ağustos 2017'de Kongre, ABD hükümetine satılan herhangi bir IoT cihazının varsayılan parola kullanmamasını, bilinen güvenlik açıklarına sahip olmamasını ve cihazlara yama uygulayacak bir mekanizma sunmasını gerektiren IoT Siber Güvenlik İyileştirme Yasasını çıkardı. Devlete satılan cihazları yaratan üreticileri hedef alırken, tüm üreticilerin benimsemesi gereken güvenlik önlemleri için bir temel oluşturdu.
• IoT'ye özgü olmasa da, Genel Veri Koruma YönetmeliğiMayıs 2018'de yayınlanan , Avrupa Birliği'ndeki veri gizliliği yasalarını birleştiriyor. Bu korumalar, IoT cihazlarını ve ağlarını kapsar.
• Haziran 2018'de Kongre, Ticaret Bakanlığı'nın IoT endüstrisi hakkında bir çalışma yürütmesini ve IoT cihazlarının güvenli büyümesi için öneriler sunmasını önermek için IoT Yasasının Modern Uygulama, Araştırma ve Eğilimlerinin Durumu'nu (SMART IoT Yasası) tanıttı. SMART IoT ACT henüz yasalaşmamış olsa da, Kongre'nin birçok oturumunda tanıtıldı.
• Eylül 2018'de Kaliforniya eyalet yasama organı, ABD'de satılan IoT cihazları için güvenlik gereksinimleri getiren bir yasa olan 327 sayılı Bilgi gizliliği: bağlı cihazlar yasasını onayladı.
• Şubat 2019'da Avrupa Telekomünikasyon Standartları Enstitüsü, daha önce bu ölçekte ele alınmayan bir alan olan tüketici IoT güvenliği için dünya çapında geçerli ilk standardı yayınladı.
• Ocak 2020'de, Gelişen İnovasyon ve Nesnelerin İnternetini Büyütme Yasası veya DIGIT Yasası Senato'dan geçti. Bu yasa tasarısı, Ticaret Bakanlığı'nın bir çalışma grubu toplamasını ve güvenlik ve gizlilik de dahil olmak üzere IoT hakkında bir rapor oluşturmasını gerektiriyor.
• Aralık 2020'de eski Başkan Donald Trump, IoT Siber Güvenlik İyileştirme Yasası yönetmenliğini yaptığı 2020 yılı Ulusal Standartlar ve Teknoloji Enstitüsü ABD hükümeti tarafından kontrol edilen veya sahip olunan IoT cihazları için minimum siber güvenlik standartları oluşturmak.
• 2022'de İngiltere'nin Ürün Güvenliği ve Telekomünikasyon Altyapı Yasası yürürlüğe girdi. Bu yasa, tüm tüketici akıllı cihazlarının siber saldırıları hafifletebilmesini ve bunlara karşı koruma sağlayabilmesini gerektirir.

IoT saldırıları ve güvenlik değişiklik gösterir

IoT güvenlik yöntemleri, belirli IoT uygulamasına ve IoT ekosistemindeki yerine göre değişir. Örneğin, ürün üreticilerinden yarı iletken şirketlerine kadar IoT üreticileri, en başından cihazlarına güvenlik sağlamaya, donanımı kurcalamaya dayanıklı hale getirmeye, güvenli donanım oluşturmaya, güvenli yükseltmeler sağlamaya, ürün yazılımı güncellemeleri ve yamaları sağlamaya ve dinamik testler gerçekleştirmeye odaklanmalıdır.

IoT cihazlarının geliştiricileri, güvenli yazılım geliştirmeye ve güvenli entegrasyona odaklanmalıdır. IoT sistemlerini dağıtanlar için donanım güvenliği ve kimlik doğrulaması kritik önlemlerdir. Aynı şekilde, operatörler için sistemleri güncel tutmak, kötü amaçlı yazılımları azaltmak, denetlemek, altyapıyı korumak ve kimlik bilgilerini korumak çok önemlidir. Bununla birlikte, herhangi bir IoT dağıtımında, güvenlik maliyetini kurulumdan önce risklere karşı tartmak çok önemlidir.

IoT uç noktaları, siber suçlular için en önemli hedefler haline geldi. Keşfet İlk 12 IoT güvenlik tehdidi ve bunlara nasıl öncelik verileceği.